07.11.2025
1 хв
506
Microsoft описала новий побічний канал атаки Whisper Leak, який дозволяє зловмиснику, що просто пасивно слухає зашифрований HTTPS-трафік, з високою точністю визначати тему розмови з чат-ботом на базі LLM. Навіть не розшифровуючи пакети, атакувальник може зрозуміти, чи говорить користувач про чутливі теми — політику, відмивання грошей, тощо, — що створює серйозні ризики для конфіденційності приватних та корпоративних комунікацій.
Суть атаки: Whisper Leak дозволяє зловмиснику аналізувати розмір та таймінг зашифрованих пакетів між користувачем і сервісом LLM у режимі streaming-відповідей. На основі цих патернів можна класифікувати, чи стосується промпт заданої «цільової» теми.
Результати дослідження: Microsoft навчила бінарний класифікатор, використавши три ML-моделі — LightGBM, Bi-LSTM та BERT. На реальному трафіку популярних LLM від Mistral, xAI, DeepSeek, OpenAI точність розпізнавання конкретної теми перевищила 98%.
Реальний ризик: якщо, наприклад, державне агентство або провайдер моніторить трафік до популярного чат-бота, воно може надійно відмічати користувачів, які питають про певні «небажані» теми, навіть не знаючи точного тексту запитів.
Microsoft попереджає: при достатній кількості зібраних прикладів та складніших моделях атака може стати повністю практичною, особливо якщо аналізувати кілька діалогів або довгі мульти-turn-сесії з одного й того ж користувача.
Моделі працюють у streaming-режимі: замість того, щоб віддати відповідь одним блоком, вони надсилають її частинами в міру генерації. Це зручно для користувача, але створює характерний «ритм» трафіку: серії пакетів різного розміру з певними інтервалами.
Раніше вже демонструвалися атаки, які:
відновлюють довжину окремих токенів за розміром пакетів;
викрадають вхідні дані (InputSnatch), використовуючи таймінгові відмінності кешованих відповідей.
Whisper Leak робить наступний крок: показує, що послідовність розмірів і затримок пакетів достатньо інформативна, щоб класифікувати тему промпта, навіть якщо токени групуються й додатково буферизуються.
Microsoft побудувала pipeline атаки:
Пасивно збирається трафік між клієнтом і LLM-сервісом.
З нього витягуються час приходу пакетів та їхній розмір.
На цьому наборі ознак тренується класифікатор «цільова тема / інше».
При новій сесії атакувальник лише дивиться на патерни пакетів і видає рішення, чи потрапляє діалог у чутливу категорію. Чим більше розмов зібрано, тим краще навчається модель, і тим точнішим стає моніторинг.
У статті також згадується окреме дослідження Cisco, яке показало, що відкриті (open-weight) LLM-моделі від Alibaba, DeepSeek, Google, Meta, Microsoft, Mistral, OpenAI та Zhipu AI мають високу вразливість до багатоходових (multi-turn) атак, де захисні фільтри поступово обходяться через серію хитрих запитів. (The Hacker News)
Разом це формує тривожну картинку:
токени й теми можна вгадувати через побічні канали;
самі моделі легко «розхитати» через діалогові атаки;
отже, прості шари шифрування й базової модерації вже недостатні.
Whisper Leak — це нагадування, що HTTPS не = абсолютна приватність, якщо хтось уважно дивиться на бік-ефекти трафіку.
Для звичайних користувачів:
не обговорювати надто чутливі теми з AI-чатами через публічні чи недовірані мережі;
по можливості використовувати VPN, щоб ускладнити кореляцію трафіку;
за потреби анонімності — віддавати перевагу не-streaming-режиму моделей.
Для компаній і розробників:
вибирати провайдерів, які вже впровадили мітігації (Microsoft, OpenAI, Mistral, xAI додали випадковий текст змінної довжини до відповідей, що розмиває сигнатуру пакетів).
враховувати, що open-weight моделі без додаткових захисних шарів несуть не лише ризик jailbreak-атак, а й проблеми побічних каналів;
впроваджувати AI-red teaming, жорсткі системні промпти, додаткові мережеві та криптографічні захисти.
У підсумку Whisper Leak показує, що навіть коли контент шифрується, метадані та поведінка трафіку можуть видати набагато більше, ніж здається. Без глибокого переосмислення мережевої та AI-безпеки ера масового використання LLM ризикує перетворитися на золоту жилу для спостереження й стеження.
